Datenschutzrisiko in Drittländer? Deutschland und Schweiz im Datenschutzvergleich
Global agierend, übermitteln immer mehr Firmen personenbezogene Daten ins Ausland – oftmals werden Daten ohne groß darüber nachzudenken und ganz selbstverständlich transferiert, ohne die datenschutzrechtlichen Rahmenbedingungen des betroffenen Landes näher zu kennen oder zu hinterfragen. Was bleibt, ist das Risiko eines Gesetzesverstoßes, der empfindlich geahndet wird.
EU-/EWR-Länder und Drittländer
Europäische Union hin, Europäische Union her. Geht es um den Datentransfer ins Ausland bietet das vereinte Europa Vorteile. Die Übermittlung in Vertragsstaaten des Europäischen Wirtschaftsraumes (EWR) wie Norwegen, Island und Liechtenstein, gestalten sich darüber hinaus unproblematisch (vgl. „sonstige ausländische Stellen“, § 4 b Abs 2 S. 2 BDSG). Problematisch sind Datentransfers in Länder, die weder der EU noch dem EWR angehören. Sie werden als sogenannte „Drittländer“ betitelt.
Was ist ein Drittland? „Ein Drittland ist ein Staat, in dem ein Datenschutzrecht herrscht, das unter dem Niveau liegt, das mit der Umsetzung der EU-Richtlinie erreicht werden sollte.“
Das Bundesdatenschutzgesetz (BDSG) sieht für die Datenübermittlungen in ein solches Drittland besondere Regelungen vor. Eine Datenübermittlung ins Nicht-EU-Ausland ist nur dann rechtlich zulässig, wenn entweder eine Ausnahmeregelung für die konkrete Datenübermittlung vorliegt oder wenn ein angemessenes Datenschutzniveau im Sinne des § 4 Abs. 2 S. 2 BDSG durch zusätzlich ergriffene Maßnahmen sichergestellt wird.
Drittländer mit angemessenem Datenschutzniveau
Die EU-Kommission hat gemäß Art. 25 Abs. 6 der EU-Datenschutzrichtlinie die Möglichkeit, nach entsprechender Prüfung das Bestehen eines angemessenen Schutzniveaus in bestimmten Drittländern festzustellen. Von dieser Möglichkeit hat die Kommission für folgende Länder Gebrauch gemacht: Schweiz, Kanada, Argentinien, Guernsey, Jersey, Isle of Man, Israel, Neuseeland. Als Folge gilt für diese Länder ein dem EU-Recht vergleichbares Datenschutzniveau und eine Datenübermittlung in diese Länder ist ohne eine weitere eigene Überprüfung datenschutzrechtlich zulässig (unter Vorbehalt der Zulässigkeit nach §§ 28 ff. BDSG).
Schweiz versus Deutschland
Die Schweiz gehört nicht zu den EU-Mitgliedsstaaten. Sie garantiert aber nach Auffassung der EU-Kommission bei der Verarbeitung von personenbezogenen Daten einen adäquaten Datenschutz.
Ähnlich wie in Deutschland regelt das Datenschutzgesetz des Bundes den Datenschutz für die Bundesbehörden und für den privaten Bereich; auf die kantonalen Behörden ist das jeweilige kantonale Datenschutzgesetz anwendbar.
Kontrolliert wird die Einhaltung des Datenschutzgesetzes im Bund durch den „Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten“.
Für die Kontrolle der Einhaltung der kantonalen Datenschutzgesetze sind die Kantone selbst zuständig. Sie sind unabhängig und dem Eidgenössischem Datenschutzbeauftragten nicht unterstellt.
Ein großer Unterschied zu den Regelungen in Deutschland ist, dass in der Schweiz zusätzlich zur Auskunftspflicht auch eine Informationspflicht existiert (Art. 14 und Art. 18a): Werden Personendaten von Bundesorganen bearbeitet oder besonders schützenswerte Personendaten oder Persönlichkeitsprofile von privaten Personen bearbeitet, dann müssen grundsätzlich die betroffenen Personen aktiv durch den Inhaber der Datensammlung informiert werden.
Ähnlich wie es in Deutschland und auch in Österreich definiert ist, sind auch in der Schweiz jegliche Daten, die eine Profilbildung erlauben (Art. 3d), den besonders schützenswerten Daten gleichgestellt.
Datenverarbeitung in der Schweiz: Deutscher Auftraggeber, Schweizer Auftragnehmer
Für die Verarbeitung von personenbezogenen Daten deutscher Auftraggeber gilt das Schweizer Datenschutzgesetz (DSG). Die Weitergabe von Daten ist nach deutschem Recht immer eine „Übermittlung“ an Dritte (§ 3 Abs. 8 i. V. m. § 3 Abs. 4 BDSG).
Aufgrund der nationalen Datenschutzgesetze ist die Rückübermittlung der Daten an den deutschen Auftraggeber, welcher ein angemessenes Datenschutzniveau gewährleistet (Art. 6 DSG, § 4 b BDSG) nach Schweizer Recht unproblematisch und zulässig.
Der Schweizer Auftragnehmer (Dienstleister) ist nach Art. 7 DSG verpflichtet, personenbezogene Daten durch entsprechende technische und organisatorische Maßnahmen zu schützen. Dies wird mit Art. 8 – 10 DSG konkretisiert.
Datenverarbeitung in Deutschland: Schweizer Auftraggeber, deutscher Auftragnehmer
Die Auftragsdatenverarbeitung nach BDSG (§ 11 BDSG) entspricht Art. 10 a DSG. Die Verarbeitung an Dritte darf erfolgen, wenn die personenbezogenen Daten nur so verarbeitet werden, wie der Auftraggeber es selbst tun darf.
Art. 10 a Abs. 3 DSG besagt, dass der Dritte dieselben Rechtfertigungsgründe wie der Auftraggeber geltend machen kann. Art. 13 Abs. 2 DSG regelt die Rechtfertigungsgründe allerdings nicht abschließend. Er enthält vielmehr einen Beispielkatalog.
Technische und organisatorische Maßnahmen im Ländervergleich
Bei der Bereitstellung technischer und organisatorischer Maßnahmen (TOM) zum Schutz personenbezogener Daten kennen das Schweizer DSG und das deutsche BDSG vergleichbar gesetzliche Anforderungen:
• § 11 Abs. 1 und 2 BDSG verpflichtet die verantwortliche Stelle (Auftraggeber), seine Dienstleister sorgfältig auszuwählen und zu kontrollieren.
• Das Schweizer Recht verpflichtet im Art. 10a Abs. 2 DSG den Auftraggeber sich zu vergewissern, dass der Dienstleister den Datenschutz und die Datensicherheit gewährleistet.
Die TOMs zur Gewährleistung des Datenschutzes und der Datensicherheit sind im BDSG sowie in der Verordnung zum DSG geregelt. Weitestgehend stimmen die Regularien beider Länder überein:
• Zutrittskontrolle
D: § 9 BDSG Nr. 1 der Anlage
CH: Zugangskontrolle Art. 9 Abs. 1a VDSG
• Zugangskontrolle
D: § 9 BDSG Nr. 2 der Anlage
CH: Benutzerkontrolle Art. 9 Abs. 1f VDSG
• Zugriffskontrolle
D: § 9 BDSG Nr. 3 der Anlage
CH: Personendatenträgerkontrolle Speicherkontrolle, Zugriffskontrolle Art. 9 Abs. 1b, e und g VDSG
• Weitergabekontrolle
D: § 9 BDSG Nr. 4 der Anlage
CH: Transportkontrolle, Bekanntgabekontrolle Art. 9 Abs. 1c und d VDSG
• Eingabekontrolle
D: Art. 9 BDSG Nr. 5 der Anlage
CH: Eingabekontrolle, Art. 9 Abs. 1 h VDSG
• Auftragskontrolle
D: § 9 BDSG Nr. 6 der Anlage
CH: Der Auftraggeber muss sich insbesondere vergewissern, dass der Dritte die Datensicherheit gewährleistet. Art. 10a Abs. 1 VDSG
• Verfügbarkeitskontrolle
D: § 9 BDSG Nr. 7 der Anlage
CH: Kein Pendant im DSG. Sichergestellt durch Allgemeine Maßnahmen. Art. 8 Abs. 1 VDSG
• Trennungskontrolle
D: § 9 BDSG Nr. 8 der Anlage
CH: Kein Pendant im DSG. Festlegung gemäß Art. 10a Abs. 1 DSG möglich.
Datenschutzverantwortlicher (CH) / Betrieblicher Datenschutzbeauftragter (D)
Ähnlich wie im DSG 2000 (österreichisches Datenschutzgesetz) gibt es in der Schweiz keine gesetzliche Verpflichtung zur Bestellung eines Datenschutzverantwortlichen.
Das Schweizer Recht kennt in Art. 12a VDSG die Möglichkeit einen betrieblichen Datenschutzverantwortlichen zu bestellen. Mit der Bestellung wird das Unternehmen von seiner Pflicht befreit, seine Datensammlungen gemäß Art. 11 Abs. 5e DSG anzumelden.
Beide Gesetze kennen des Weiteren die Verpflichtung für Personen, die personenbezogene Daten verarbeiten: Art. 8 Abs. 1 VDSG (Vertraulichkeit, Verfügbarkeit, Integrität) und § 5 BDSG (Datengeheimnis).
Schweiz und das EuGH-Urteil zu Safe Harbor
Die Schweiz hatte 2008 ein bilaterales Rahmenabkommen zur Datenübermittlung in die USA, ein so genanntes „Safe Harbor“-Abkommen mit den USA vereinbart. Auch diese Vereinbarung ist vom Urteil am 06. Oktober 2015 des EuGH (Europäischer Gerichtshof) betroffen und wird in Frage gestellt.
Bei der Datenübermittlung in sogenannte Drittländer gibt es viele Einzelheiten zu beachten. Es spielt eine Rolle, ob das Drittland über ein angemessenes Datenschutzniveau verfügt, in welche Richtung Daten fließen, woher diese kommen und ganz besonders auf die individuelle Rechtslage im Drittland.
Autorin: Regina Mühlich